-
题名Windows环境下进程空间信息深度挖掘方法研究
被引量:5
- 1
-
-
作者
罗文华
-
机构
中国刑事警察学院网络犯罪侦查系
-
出处
《信息网络安全》
2014年第4期31-34,共4页
-
基金
公安部应用创新计划[2011YYCXXJXY121]
-
文摘
文章对现有的Windows环境下进程空间扫描技术进行了研究,提出了与传统的结构体扫描技术截然不同的进程空间深度挖掘方法。该方法利用进程的固有特征,通过内存中重要的数据结构,特别是实现特定功能所必需的VAD二叉树及栈,实现了关键信息的抽取。实验表明,所述方法具有较好的可靠性及检测效率。
-
关键词
虚拟地址描述符
进程结构体
二叉树
文件对象
API函数
-
Keywords
virtual address descriptor
process structure
binary tree
file object
API function
-
分类号
TP311.12
[自动化与计算机技术—计算机软件与理论]
-
-
题名基于删除PE文件头的恶意代码内存取证方法
被引量:2
- 2
-
-
作者
李鹏超
刘彦飞
-
机构
重庆警察学院
西南大学
天津大学
-
出处
《信息网络安全》
CSCD
北大核心
2021年第12期38-43,共6页
-
基金
重庆市教育委员会科学技术研究项目[KJQN201901702]。
-
文摘
电子数据取证领域,一些恶意程序通过删除PE可执行文件头部后将其复制到具有执行保护权限内存页面的方式躲避取证人员的检验。文章针对文件头被恶意删除的PE可执行文件分析后,提出一种通过分析存储在具有保护权限的内存页面中的进程Section表的方法,检测头被恶意删除的可执行文件。首先通过特征元素选择出虚拟地址描述符(VAD)中具有执行保护的non-private页面,这些页面很可能存储有恶意代码。然后对相应Section表中的Section头标识进行检索,并计算它们之间的偏移间隔是否为Section头大小的倍数以检验Section表特征。另外,文章将提出的算法实现为可以在内存取证工具Volatility 3框架中执行的插件,并通过使用该插件分析被Ursnif恶意软件感染的内存数据,以检验其有效性。
-
关键词
内存取证
虚拟地址描述符
Volatility
3
恶意代码
-
Keywords
memory forensics
virtual address descriptor
volatility3
malicious code
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名针对进程用户空间的电子数据取证方法研究
- 3
-
-
作者
罗文华
-
机构
中国刑事警察学院网络犯罪侦查系
-
出处
《中国司法鉴定》
2014年第5期64-68,共5页
-
基金
公安部应用创新计划项目(2011YYCXXJXY121)
-
文摘
进程用户空间中的信息往往与特定用户的特定操作行为直接关联,对于证据链的建立意义重大。从数目繁多的用户空间数据结构中筛选出最重要的三种:进程环境块、线程环境块与虚拟地址描述符,说明其定位方法,并重点讨论其结构格式的电子数据取证特性,为内存空间电子数据取证提供了新的思路与方法。实例分析部分,则以目前广泛使用的Windows 7操作系统为应用背景,说明了所述方法的具体应用。
-
关键词
进程用户空间
电子数据取证
进程环境块
线程环境块
虚拟地址描述符
-
Keywords
process user space
digital forensics
process environment block
thread environment block
virtual address descriptor
-
分类号
TP274
[自动化与计算机技术—检测技术与自动化装置]
-
-
题名WINDOWS环境下开发实时系统的关键
被引量:2
- 4
-
-
作者
黄芳
刘孟衡
-
机构
长沙铁道学院信息院
-
出处
《长沙铁道学院学报》
CSCD
1998年第3期62-66,共5页
-
文摘
本文介绍了WINDOWS环境下开发实时系统的关键技术,即物理内存的直接访问,中断程序的设计和WINDOWS运行机制下实时任务的处理.叙述了其原理和具体解决办法.
-
关键词
工业控制机
实时系统
WINDOWS
物阻内存
中断
-
Keywords
segment selector
virtual address
kernal interface
message loop
intrrupt descriptor table
-
分类号
TP391.8
[自动化与计算机技术—计算机应用技术]
TP316
[自动化与计算机技术—计算机软件与理论]
-
